За даними фахівців Cofense, кількість шкідливих кампаній, що запускаються з доменів .es, збільшилася в 19 разів. Такі домени стають третіми за популярністю серед зловмисників, поступаючись лише .com і .ru.

Доменна зона .es – це домен, зарезервований для Іспанії або сайтів, орієнтованих на іспаномовну аудиторію.

Зловживання доменами .es почалися в січні 2025 року, і станом на травень поточного року на 447 базових доменах .es і 1373 піддоменах було розміщено шкідливі сторінки.

Експерти повідомляють, що 99% шкідливих сторінок спрямовані на фішинг облікових даних, а 1%, що залишився, використовується для поширення троянів віддаленого доступу (RAT), включно з ConnectWise RAT, Dark Crystal і XWorm.

Зазвичай така нечисть просувається через шкідливі листи, що маскуються під відомі бренди (у 95% випадків – під компанію Microsoft). Листи зловмисників, як правило, присвячені робочим питанням, наприклад, кадровим запитам або проханням про отримання документів. При цьому повідомлення часто добре опрацьовані, а не складаються з односкладових фраз.

Дослідники не висловлюють жодних припущень про те, чому саме домен .es раптом став популярним серед злочинців. У компанії зазначають, що тільки домени .com і .ru завжди залишаються попрулярними у зловмисників, а інші доменні зони можуть змінюватися від кварталу до кварталу.

“Якби тільки один зловмисник або хак-група активно використовували домени .es, то бренди, під які вони маскуються в рамках своїх кампаній, імовірно, відображали б специфічні переваги цих зловмисників (відмінні від того, що спостерігається у звичайних фішингових кампаніях, які запускаються безліччю атакувальників з різними цілями, мотивами і рівнем якості). Однак такого помічено не було, що свідчить на користь того, що зловживання доменами .es стає поширеною тактикою для великої кількості зловмисників, а не відмінною рисою кількох вузькоспеціалізованих груп”, – пишуть у Cofense.